CloudFront签名URL与签名Cookie治理

CloudFront签名URL与签名Cookie治理概览使用签名 URL 或签名 Cookie 控制资源访问时间窗口、IP 范围与路径匹配。通过密钥组（Key Group）管理公钥并在分配中引用，实现密钥轮换与多应用隔离。与源鉴权（OAC/OAI）协同，防止绕过 CDN 直接访问源站。技术参数（已验证）URL/Cookie：策略包含 `Resource`、`DateLessThan`、可选 `IPRange` 与路径通配；客户端携带 `Key-Pair-Id` 与签名。密钥组：在分配中绑定 Key Group；轮换时保留新旧公钥的过渡期并更新生成端私钥。源鉴权：优先使用 OAC；旧方案为 OAI；在 S3 源上限制公开访问并只允许来自分配的请求。缓存：签名维度影响缓存键；在分配与源配置中治理缓存与授权头传递。审计：记录签名验证失败、过期与来源 IP；建立告警与轮换台账。实战清单为私有内容选择 URL 或 Cookie 方案；定义策略窗口与范围并生成签名。绑定密钥组并实施轮换；与 OAC/OAI 配合防止源绕过。观测验证失败与过期情况；调整缓存与授权头策略。Importance: 以签名与源鉴权联合治理私有内容访问的安全与体验。